Ruby on Rails bacato, Github compromesso

Uno sviluppatore beffa i gestori di Github ottenendo l'accesso di amministratore e lasciando messaggi canzonatori sui server. Guadagna l'espulsione temporanea e la correzione del baco da lui precedentemente identificato

Roma – Grave problema di sicurezza per Github, il popolare “repository” che da tempo rappresenta la casa telematica di importanti progetti open come Linux e Ruby. La vulnerabilità in oggetto si trovava proprio nel framework di sviluppo basato sul suddetto linguaggio di programmazione (Ruby on Rails), ed è stata individuata dal ricercatore di sicurezza russo Egor Homakov.

Homakov ha provato a segnalare il problema nel sistema di sviluppo collaborativo di Github, ma il suo primo tentativo è stato infruttuoso e il ricercatore ha così deciso di dare dimostrazione pubblica della gravità della questione sfruttando la vulnerabilità per ottenere l’accesso da amministratore a uno dei progetti ospitati su Github.

Garantitosi l’accesso al sistema, Homakov avrebbe potuto aggiungere ogni genere di file al progetto o anche eliminarlo in maniera definitiva dai server senza alcun problema. Banale il metodo usato per divenire amministratore, vale a dire il semplice upload della sua cripto-chiave pubblica al repository.

Homakov avrebbe potuto fare danni ma si è limitato ad attirare l’attenzione degli admin, guadagnandosi una sospensione temporanea e infine la chiusura del baco presente in Ruby on Rails. Il framework è stato in seguito ulteriormente aggiornato alla versione 3.2.2 per correggere altri problemi di sicurezza non connessi a quello scoperto dal ricercatore russo.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Menestrello scrive:
    Ma chi le fabbrica?
    A quanto pare AMD sta passando ad altre fab per la realizzazione di questi chip visto che TSMC pare abbia bloccato la produzione a 28nm. Potrebbe essere la fab cinese SMIC http://www.bitsandchips.it/9-hardware/637-smic-potrebbe-essere-la-fab-dietro-pitcairn
Chiudi i commenti